Er adfærdskodeks vejen frem til beskyttelse af privatlivets fred ?

I den løbende debat om regelsættet for persondata- og privacybeskyttelsen er et af stridspunkterne, hvorvidt selvregulering i modsætning til offentlig regulering mere eller mindre kan træde i stedet for egentlig lovregulering.

Det essentielle ved selvregulering er, at den regulerende og de regulerede er en og samme organisation og at de regler der styrer organisationens adfærd er vedtaget frivilligt. Senest er spørgsmålet om detail-udmøntning ved selvregulering (eller udarbejdelse af adfærdskodeks) blevet aktuelt i forbindelse med cookie-direktivet og det danske udkast til bekendtgørelse, der træder i kraft 25. maj 2011. I sin kerne udvider bekendtgørelsen begrebet privatsfære udover hvad der følger af den gældende persondatalov. Af andre tiltag i IT-branchen i de senere år kan i øvrigt henvises til branchekodeks om håndtering af ulovlig adfærd på internettet, jfr. IT- og Telestyrelsens rapport fra september 2005 og branchekodeks fra IT-Brancheforeningen og Telekommunikationsindustrien i Danmark.

Selvregulering (sædvaner, kutymer, adfærdskodeks og uformel ret) eller decentral retsdannelse er et kendetegn for velfærdsstatens regulering i nyere tid og spiller en stor og tilsyneladende større og større rolle i forhold til Folketinget. Vi ser også denne udvikling afspejlet ved den øgede indflydelse som Menneskerettighedsdomstolen i Strasbourg og EF-domstolen i Luxemborg har opnået i de seneste årtier. Det påpeges fra flere sider, at nationalstatens rolle som ramme for og udsteder af reguleringen er under forandring og at det ikke længere kun er jurister, som vedtager hvad der skal være lov og ret i samfundet.

Man kan med rette stille det spørgsmål om brancheinitiativer til selvregulering blot er staffage for at tækkes offentligheden og undgå offentlig regulering eller om baren faktisk sættes tilstrækkelig højt og i realiteten opfylder lovgivers krav og samfundets forventninger ?

Svaret afhænger naturligvis af en konkret vurdering.

For så vidt angår “cookie-loven” er der ikke nogen tvivl om, at branchen har lobbyet EU-Kommissionen med det formål at undgå en omfattende offentlig regulering, men EU-Kommissionen har også klart og utvetydigt tilkendegivet, at såfremt branchen ikke ved selvregulering lever op til intentionerne i direktivet, så vil EU-Kommissionen ikke tøve med en efterfølgende yderligere regulering. Denne trussel vil uden tvivl medvirke til at fremme innovationer indenfor privatlivsfremmende teknologier og services.

For en selvregulering i alt fald i første omgang taler følgende:

• høj kvalitet og innovation i de teknologiske løsninger forudsætter en viden, som branchen og ikke myndighederne ligger inde med
• omkostninger til formidling og gennmførelse samt monitorering er mindre ved selvregulering
• usikkerhed ved en offentlig regulerings indvirkning især på et marked, der skifter hurtigt og som ikke tidligere har været reguleret
• Selvreguleringsarrangementer er mindre rigide og kan hurtigere tilpasses markedsændringer, ny teknologi og forbrugernes krav og ønsker

På minussiden for en selvregulering kan anføres:

• der synes at være en stor uoverensstemmelse mellem leverandørernes og forbrugernes interesser
• der er tale om en situation med asymmetrisk information mellem leverandør og forbruger med hensyn til de kvalitative og adækvate løsninger
• monitorering og retshåndhævelse er mindre effektiv
• risiko for konkurrenceforvridning

Disse negative aspekter af selvregulering kan imidlertid helt eller delvist elimineres ved, at

• selvreguleringen skal overholde det rammeværk, som fremgår af direktivet og eventuelt supplerende administrativt fastsatte bestemmelser
• informations- og gennemsigtighedsniveaet skal være meget højt
• forbrugeren sikres reel indflydelse på regelsættets udformning, herunder at der etableres et forbrugerankenævn
• de teknologiske løsninger skal understøtte regelsættets krav samt overholdelsen af disse krav (kontrol af compliance)
• en kodeks omfatter den overvejende del af branchens udbydere

Det første punkt synes at være eller undervejs til at blive opfyldt, mens de fire andre punkter endnu for tiden er uafklaret.

Det siger sig selv at en adfærdskodeks bør baseres på de grundlæggende principper i persondataloven og virksomhedernes samfundsansvar (CSR) samt garantere et højt troværdighedsniveau og forbrugertillid. Selvreguleringens effektivitet og gennemslagskraft vil forudsætte at et af branchen nedsat permanent dialogforum og forbrugerankenævn har en bred repræsentation og at den selvregulerende mekanisme nøje tilgodeser brugernes behov samt er åben overfor alle relevante aktører.

Der findes ingen reel sikkerhed eller privatlivsbeskyttelse og dermed ingen mirakelkur. Det centrale vil altid være kontinuerligt at identificere, vurdere, begrænse og håndtere bestemte privacy-risici, jfr. definitionen af privacy-begrebet. Netop derfor vil – efter min personlige opfattelse – selve processen med inddragelse af relevante interessenter være et imperativ for “bæredygtige” løsninger, fordi den er lige så værdifuld som selve resultatet.

Der er ikke nogen grund til at skjule at der indholdsmæssigt er meget på spil for branchen i og med at de såkaldte cookies er en meget vigtig bestanddel af mediebranchens internetomsætning. Det vil nok ikke være forkert at hævde, at branchen ikke har ønsket nogen regulering overhovedet, for selve målet med en regulering er at få folk til at gøre noget andet, end de ellers ville have gjort. Efter at udkast til bekendtgørelse er offentliggjort har debatten herefter for det meste kredset omkring fortolkningen af “et informeret samtykke” og om en eller anden form for proaktiv handling fra brugerens side er nødvendig, se f.eks. Cookies og regler: Er et klik nødvendigt?. Man kan ikke betænke branchen i, at arbejde for, at status quo bevares så meget som muligt og at regelsættet bliver så lidt indgribende i branchens virke som muligt. Der er imidlertid nok ikke nogen tvivl om, at et forudgående udtrykkeligt samtykke af forbrugeren vil være en betingelse. Hvilken form dette samtykke skal have samt hvor mange gange dette samtykke skal gives og i hvor lang tid og i hvilken sammenhæng et samtykke er gældende er et andet spørgsmål, der i høj grad er betinget af tekniske og praktiske omstændigheder. Det står givetvis klart for alle, at balancegangen mellem hvad der er strengt nødvendigt for at opfylde bekendtgørelsens bestemmelser og hvad der kan lade sig gøre i praksis er “cookie-loven”s ganske særlige udfordring.

Det skal blive spændende at se, hvorledes branchen formår at leve op til sit sociale og etiske ansvar og evner at vise at den godt kan selv og ikke mindst er i stand til at sikre disciplin og selvjustits blandt de tilsluttede virksomheder til gavn for forbrugerne. Et første skridt på europæisk plan er taget med IAB Europe´s udgivelse af retningslinjer for en mærkningsordning for online-annoncører, der bl.a. bakkes op af FDIM.

Privatlivsfremmende teknologier – er der noget at komme efter ?

10. september 2010 blev PrivatTek 2010 afviklet i den lyse og stilfulde Landstingssal på Christiansborg. De lidt over 90 deltagere blev foran Landstingssalen mødt af 14 portrætter af Danmarks tidligere statsministre fra Thorvald Stauning, der blev statsminister i 1924, til Poul Nyrup Rasmussen, der var statsminister 1993-2001.

De ydre rammer for konferencen kunne derfor ikke siges at være bedre med henblik på italesættelsen af persondatabeskyttelsen i sammenhæng med privatlivsfremmende teknologier, som var et af arrangementets hovedformål. 

De privatlivsfremmende teknologier blev belyst i relation til:

• It-sikkerhedskomiteens indsatsområder 
• Persondataloven
• I forbindelse med videoovervågning
• En integreret del af en innovativ it-arkitektur 
• Et visionært teknologidesign
• EU´s kommende 7. call under IKT-programmet og sidst men ikke mindst
• I en debat med et bredt sammensat panel

Det var netop hensigten at komme vidt omkring emnet ved at berøre teknologikonceptets teoretiske, praktiske, tværfaglige, politiske, økonomiske og etiske aspekter. Ved samtidig at gøre dette på et jordnært, elementært niveau er det håbet at tage mystikken af teknologibegrebet og få en bredere kreds af offentligheden i tale. At f.eks. CenSec og Sikkerhedsbranchen er officielle medarrangører af PrivatTek 2010 er allerede i sig selv en manifestation af disse organisationers øgede interesse for privacy.

Det er min klare opfattelse at denne mission er lykkedes. Det viser den store interesse op til PrivatTek 2010 og bredden af deltagerne, som talte både repræsentanter for en række ministerier og styrelser, forskere og studerende fra en række forskellige universiteter, advokater, repræsentanter for en lang række erhvervsbrancher, herunder finanssektoren og it-sikkerhedsleverandører. 

 At jurister får en større forståelse for de privatlivsfremmende teknologier samtidig med at it-udviklere sætter sig mere ind i lovgivning om persondatabeskyttelse og privacy-principper er en grundforudsætning for bæredygtige løsninger. Derfor opfordrede jeg selv i min velkomst etableringen af tværfaglige forsknings- og udviklingsmiljøer med privatlivsfremmende teknologier for øje.   

PrivatTek 2010 nød godt af en engageret deltagelse af Yildiz Akdogan, Socialdemokraternes it- ordfører og konferencens officielle vært. Arrangørerne havde dog set frem til en større politisk bevågenhed, især fordi en positiv udvikling af teknologien, som bl.a. påpeget af flere nylige rapporter udgivet af EU-Kommissionen, forudsætter mere direkte lovgivning og diverse soft law-instrumenter.    

Der er i den forbindelse anledning til at fremhæve, at der i lige så høj grad er behov for en øget certificering og standardisering, som lektor Christian Damsgaard Jensen kom ind på i sit indlæg og som blev problematiseret under indlægget om video i teknisk og retligt perspektiv af direktør Kasper Mikkkelsen fra Sikkerhedsbranchen. Det er muligt, at det er en større teknologisk udfordring, at ekstrahere semantisk information med henblik på beskyttelse (scrampling) for så vidt angår multimedier end med hensyn til tekstdata eller kategoriske data. Selv om  Sikkerhedsbranchen i øvrigt på eget initiativ har indført en godkendelsesprocedure for installatører, mangler der imidlertid en eller anden form for effektiv kontrol med at produkterne lever op til det de lover for at skabe reel tryghed for borgeren.

Sidste år stødte jeg på en glimrende artikel Without fear of trespass på guardian.co.uk skrevet af Julian Baggini. Den og debattråden  berører ikke de teknologiske muligheder, men det er alligevel tankevækkende at forestille sig, hvorledes teknologiløsninger kan og bør være med til at fjerne almindelige menneskers behov for at forsvare deres privacy i det offentlige rum. 

Den etiske dimension blev også taget op under paneldebatten af direktør Lars Klüver fra Teknologirådet. Det er klart at værdidebatten er fundamental for hele samfundsudviklingen. Man kan definere etik som kritisk refleksion på menneskets handlinger (moral) og al teknologidesign bør naturligvis være baseret på klart formulerede etiske principper. Det er altid godt at tage emnet op i enhver sammenhæng og det var mit klare indtryk at forsamlingen var opmærksom herpå.   

De deltagere, som jeg har talt med efterfølgende udtrykte alle, at de synes det var en interessant og udbytterig event. I øvrigt kan jeg henvise til Jan Horsagers inspirerende blogindlæg 14.9 2010: Hvem skal bestemme, hvad der er fortroligt? og dagens opfølgende artikel på Computerworld online: Hvem vil certificere privacy? samt yderligere kommentarer om konferencen og om privacy i almindelighed på Danish Biometrics og  her.

Á propos temaets aktualitet kan desuden henvises til den åbningstale, som Viviane Reding, EU-kommissær for retlige anliggender, grundlæggende rettigheder og EU-borgerskab, holdt i forbindelse med the digital single market Conference i Brussels 16. 9. 2010 og som var organiseret af the Lisbon Council. I talen opfordrede Reding til udvikling af nye teknologier baseret på privacy by design og “at databeskyttelsen bør indlejres i teknologiernes og procedurernes hele livscyklus”.

Under alle omstændigheder blev der sat fokus på privatlivsbeskyttelsen. Det er jo en opgave, som der hele tiden skal afsættes ressourcer til. Der er ikke nogen tvivl om, at der tegner sig nogle yderst interessante perspektiver i udviklingen af privatlivsfremmende teknologier og derfor vil PrivatTek som koncept blive videreudviklet i forbindelse med kommende arrangementer.

Danmark bør gå i front med CSR-innovation i menneskerettigheder

Danmark og CSR

I Forsk2015 kataloget (maj 2008), der identificerer og prioriterer Danmarks strategiske forskningstemaer, fremhæves virksomhedernes evne til at innovere som en central udfordring og at en strategisk forskningsindsats skal tilvejebringe et forbedret videngrundlag for virksomhedsledere, medarbejdere og politikere omkring den måde, hvorpå innovationsprocesser ledes, organiseres og fremmes bedst muligt. Målet er at bringe Danmark op blandt de mest innovative lande i verden.

Regeringen har i sin handlingsplan for virksomheders samfundsansvar (maj 2008) sat sig et visionært mål om, at udbrede forretningsdrevet samfundsansvar blandt både store og mindre virksomheder.

Om forretningsdrevet samfundsansvar foreslår regeringen for eksempel, at virksomhederne kan udvikle nye produkter eller ydelser, der indeholder en social eller miljømæssig dimension.

I forbindelse med et af de fire indsatsområder i handlingsplanen om udbredelse af forretningsdrevet samfundsansvar vil regeringen bl.a. øge rådgivningen om innovation og samfundsansvar til små og mellemstore virksomheder i de regionale væksthuse.

I tilknytning til denne aktivitet har Center for Samfundsansvar netop stået i spidsen for et nordisk projekt om CSR-drevet innovation, der har til formål at støtte en innovationsproces, der med udgangspunkt i sociale eller miljømæssige hensyn bidrager til udvikling af en service eller et produkt, der er økonomisk rentabelt samtidigt med, at det gavner medarbejdere, miljø eller samfund på nye måder.

Endvidere har Europa-kommissionen med den “Europæiske Alliance for CSR” til hensigt at medvirke til at få de europæiske virksomheder til at acceptere Corporate Social Responsibility og at øge støtten til og anerkendelsen af CSR som et bidrag til en overordnet bæredygtig udvikling og til Europæisk vækst og beskæftigelse. Alliancens medlem- mer har bl.a. identificeret et prioritetsområde baseret på samfundsmæssige behov, at fremme innovation inden for bæredygtig teknologi, produkter og services samt at skabe innovation på miljøområdet med specifikt fokus på at integrere den miljømæssige nyttevirkning og energibesparelser i produkt- og service udviklingsprocessen.

Danmark og IKT

Det fremgår ligeledes af FORSK2015 kataloget, at visionen er, at Danmark i 2015 er ledende inden for udvikling af nye innovative IKT-baserede produkter og services samtidig med, at samfundets behov og den generelle IKT udvikling i højere grad sammentænkes. En central passage i kataloget er følgende: ” Der vil i en række sammenhænge også være behov for at indtænke emner som sikkerhed, pålidelighed, tryghed og privacy i forskningen.”

I 2008 rangerer FN’s E-Government Survey Danmark blandt de øverste to lande i offentlig e-parathed kun overgået af USA. Endvidere er Danmark placeret blandt de fem første lande på globalt plan i indeks om e-parathed (EIU 2008). Hertil kommer, at  EIU World Investment Prospects anser Danmark for at have det mest erhvervsvenlige miljø i perioden 2007-2011.

Europa-Kommissionens Digital Competitiveness Report (august 2009) viser, at Danmark er blandt de bedste nationer for de fleste i2010 indikatorer og er en klar frontløber i udviklingen af informations-samfundet. Med en handlingsplan for grøn IT lanceret i 2008, er Danmark også i front med hensyn til miljøvenlig anvendelse af IKT.

Selvom Danmark på det seneste på visse punkter har mistet lidt af sin førerposition, så vidner tal som disse om, at Danmark er en verdensklasse IKT-klynge, og at regionen besidder et enormt forretningspotentiale for internationale IKT-aktører. Danmark har en stor koncentration af virksomheder, der arbejder inden for IKT-området, og den største IKT-klynge i Danmark er placeret i det Storkøbenhavnske område og spænder over den sydlige del af Sverige.

Denne grænseoverskridende IKT klynge har en arbejdsstyrke på 100.000 IKT-medarbejdere og fungerer som en fremragende indgang til den skandinaviske IKT-industri.

Danmark og CSR-IKT innovation

En virksomheds samfundsansvar drejer sig også om at respektere og fremme de grundlæggende menneskerettigheder. 6 af FN´s 10 principper for samfundsansvar for virksomheder (Global Compact) fremhæver, at virksomheder bør støtte og respektere internationalt erklærede menneskerettigheder; samt sikre, at den ikke medvirker til krænkelser.

Imidlertid er der ikke den store fokus på at udvikle nye produkter eller serviceydelser, der indeholder en menneskeretlig dimension. CSR-innovation og design i menneskerettigheder kan på samme måde som et  miljømæssigt engagement være knyttet til en virksomheds forretning og forretningsmodel, til processer og teknologier og til bestemte produkter og services med henblik på at fremme en udvikling af de grundlæggende menneskerettigheder.

Som udgangspunkt vil der kunne opnås en særlig synergieffekt ved at fokusere på  menneskerettigheder, som har en særlig betydning for IKT området, såsom informations- og ytringsfriheden, retten til at deltage i teknologisk udvikling samt retten til privatlivets fred.

CSR-innovation og design i menneskerettigheder (eller CSR-innovation and design in human rights) vil ikke alene kunne være rettet mod løsning af bestemte menneskerettighedsmæssige problemer båret af et samfundsmæssigt hensyn men også være specifikt markedsorienteret. Et paradigmeskift med forretningsmodeller, teknologier, samarbejdsmodeller, idéskabelse og iværksætteri i et menneskeret-tighedsmæssigt perspektiv vil befordre en ny almengyldig og fundamental tilgang til ansvarlig innovation.

Den ekspansive udvikling af overvågningsteknologier som f.eks. RFID, biometri, GPS, CCTV, MEMS, smart ID-kort osv. især efter 11/9, har samtidig medført ny og spændende forskning og udvikling i privacy enhancing technologies (PET). Disse PET løsninger er et sammenhængende system af IKT instrumenter som beskytter privacy ved at eliminere eller reducere persondata eller ved at forhindre unødvendig og/eller uønsket behandling af persondata uden at miste datasystemets funktionalitet, Business casen viser, at der kan designes teknologier til beskyttelse af privatlivets fred, som jo er en basal menneskeret (Menneskerettigheds-erklæringens artikel 12).

CSR innovation og design i menneskerettigheder skal være med til at udvikle nye teknologier ( f.eks. ambient intelligence i sammenhæng med embedded system design), videnskoncepter og videnskompetencer. Mange relevante nøgleteknologier eksisterer allerede, men skal videreudvikles og forfines til specifikke formål i en ny kontekst (teknologisk konvergens) i sammenhæng med udvikling af nye forbrugerorienterede markedsmekanismer. CSR innovation and design in human rights er ikke kun en ny trendy public relation idé, men et helhedsorienteret, nytænkende og skelsættende koncept med en forretningsmæssig forankring, som skal bidrage til at eliminere den tilsyneladende dikotomi mellem profit og etiske principper ved at gøre investeringer i human rights profitable i både snæver og bredere forstand.

Danmark er verdens mest innovative land med hensyn til virksomheders samfundsansvar (CSR) også kaldet samfundsansvarlig virksomhedsinnovation eller CSI. Der er mange gode grunde til at fastholde og udbygge denne førerposition ved at udnytte etablerede ressourcer, kompetencer og synergieffekter til at satse på det hidtil ret oversete aspekt af CSR, der synes at have et signifikant globalt potentiale. Om brugerdreven innovation og demokratisk teknologiudvikling, der ligger i forlængelse af CSR, henvises til et blogindlæg om biometri.

Forskellige initiativer med en række aktører vil derfor blive undersøgt i den kommende tid.  Eventuelt interesserede er velkommen til at rette henvendelse til Dansk Privacy netværk´s sekretariat.

Et holistisk helhedssyn er påkrævet

I den offentlige debat stilles overvågning ofte i modsætning til privacy. Jo mere overvågning jo mindre privacy. Det er en total misforståelse for overvågning og privacy er ikke et hverken eller, men et både og. Der er ikke eller rettere, der behøver ikke mere, at være tale om en dikotomi. Man kan også udtrykke det således: security og privacy er to sider af samme mønt.

Overvågning har ligesom privacy nytteværdi for den enkelte og for samfundet som helhed, fordi begge begreber i bund og grund har det samme formål: at skabe tryghed. Hvem vil ikke stoppe terroristen eller pædofilisten ? Der er vel heller ikke mange som oplever trafik- eller miljøovervågning som noget negativt. Men der er jo ikke grund til unødvendig overvågning !

Udfordringen er selvfølgelig at foretage en nærmere etisk, juridisk og teknisk vurdering af den konkrete sammenhæng hvor overvågning ønskes iværksat og privacy samtidig vil blive krænket. Der vil være tale om at afbalancere de forskellige hensyn.

Imidlertid må det konstateres, at der efter 11/9 har været mange eksempler på lovgivning, hvor lodderne til fordel for en ren sikkerhedsbetragtning, har vejet tungest. Det behøver ikke at være sådan og det bør der rettes op på, så der kommer mere balance i tingene.

Denne holdning deles efterhånden af en lang række opinionsdannere, eksperter og politikere og er bl.a. kommet til udtryk i diskussioner i forbindelse med forberedelsen af arbejdsprogrammet for det svenske EU formandskab i 2. halvår 2009. I et referat af en konference i Bruges i marts 2009 ararrangeret af Det Europæiske Råd om en strategisk dagsorden for frihed, sikkerhed og retfærdighed , refereres f.eks. den tjekiske indenrigsminister Ivan Langer, specifikt for at understrege “the importance of finding a balance between security and privacy, hinting that there today is a tendency in Europe to focus too much on security. Freedom, privacy and mobility is however as important and has been left outside the focal point lately”.

Det er ikke altid en let opgave, men det er ikke desto mindre en fremgangsmåde, som er nødvendig og som vil stille store krav til myndigheder, interesseorganisationer og NGO´erne. Ja, i en tidsalder hvor konflikter og teknologi bliver mere og mere kompliceret, må vi også hver især som enkeltindivid være meget mere engagerede i hverdagen.

De principper vi bygger vort samfund på skal vi værne om, men debatten viser med al ønskelig tydelighed, at der mangler en grundlæggende forståelse af vort værdisæt. Når det af mange udtales, at man ikke har noget at skjule og at man faktisk gerne vil have overvågning, så er det ikke en overraskende holdning. Vi lever – trods alt – i et af de mest trygge samfund i verden med en social velværd, som de fleste nyder godt af. Vi har samtidig, det viser jævnlige undersøgelser, en offentlig sektor, som er en af verdens mindst korrupte.

Men desværre bygger holdningen også på stor uvidenhed og mange vil måske mene direkte naivitet. Misbrug finder sted, det ved vi. Den korrupte embedsmand findes, det ved vi også. Det er godt at vi kan benytte os af de teknologiske muligheder til at sikre mennesker og værdier, men teknologien kan også misbruges. Jeg plejer at sige, at der ikke findes hverken god eller dårlig teknologi. Opgaven består i at designe den teknologiske løsning efter det konkrete behov. Teknologiske mekanismer som f.eks. “privacy by design” herunder “revocable privacy” og “revocable anonymity” (konceptideer) samt “best available techniques” og “human factors design”  kan være til stor hjælp i sammenhæng med anvendelsen af moralske principper som eksempelvis “forsigtighedsprincippet” (the precausionary principle). Udvikling af en IT-infrastruktur, hvori proces og krav direkte implementeres (embeddes) uden mulighed for senere ændring, kan også være en løsningsmodel.

Eksemplerne skal illustere, hvorledes teknologien kan sikre både privacy og security ved opbygning af informationssystemer. Eller med andre ord kan teknologien gøre det muligt for både sikkerheds-hardlinere og frontkæmpere for menneskerettigheder at mødes !

Med ”internet of things” vil især WiFi- og RFID-teknologierne gøre det muligt at forbinde alle mulige ting med hinanden fra bøger til biler og fra elektriske apparater til fødevarer. Det giver os mennesker fantastiske muligheder for at understøtte og forbedre hverdagen, men samtidig kan teknologien opsamle en masse information om vores gøren og laden 24 timer i døgnet. Løsningen må som udgangspunkt være, at brugeren har kontrol og valgmulighed, hvilket igen forudsætter gennemsigtighed. Et nyligt notat fra EU Kommissionen Internet of Things – An action plan for Europe sætter fokus på denne fremtid.

Det forventes at politikere og embedsværket vil være i stand til at træffe de rigtige afgørelser ud fra et samfundsmæssigt helhedssyn. Man kan ikke betænke organisationer eller myndigheder i at varetage de interesser eller opgaver de nu er sat til at varetage.

Men hvorledes sikrer vi os den afbalancerede afvejning af ofte modsatrettede hensyn, som der i en globaliseret verden mere end nogensinde er behov for?

Mere tværfaglig forskning hilses velkommen lige som generelle informationskampagner er vigtige.  Der synes også at være anledning til at gennemføre en videnskabelig undersøgelse af hvorledes vi i grunden stiller os til overvågning og privatlivsbeskyttelse, vore værdier og holdninger til menneskerettighederne.

Men derudover er der måske grund til at overveje etablering af et ”visdomsråd”, som skal forholde sig kritisk men holistisk til alle samfundets udfordringer og som forener videnskab med en dybere forståelse af de menneskelige værdier og samfundets sammenhængskraft og bæredygtighed i videst muligt omfang.

Ideen er faktisk så gammel som demokratiet, idet der i det antikke Grækenland fandtes et symposium af 7 vise mænd, som skulle assistere samfundet med forslag til løsninger af komplicerede spørgsmål både personlige og sociale og som kom til at få stor indflydelse på opbygningen af et oplyst og avanceret samfund.

Er disse gamle visdomsord i øvrigt ikke eviggyldige og relevante ikke bare i diskussionen mellem øget overvågning og privacy men i alle sammenhænge:

“All things in moderation”

“Nothing in excess”

Amerikansk regeringsrapport om netsikkerhed anerkender privacy

USA´s regering har i dag udsendt en rapport med titlen “Cyberspace Policy Review – Assuring a Trusted and Resilient Information and Communications Infrastructure”, der indeholder et effektivt program for netsikkerhed og som anerkender privacy.

Rapporten er et resultat af en 60-dages gennemgang af hele regeringens netsikkerhedspolitik og er mere end en generel erklæring om principper og mål, men der savnes alligevel en mere uddybende konkretisering. Rapporten nævner mindst en halv snes gange, at det er nødvendigt at tage hensyn til privacy og de borgerlige frihedsrettigheder, hvilket afspejler en forpligtelse til, at indbygge beskyttelse, når foranstaltninger for netsikkerhed kan få en negativ indvirkning på privacy.

Princippet om gennemsigtighed fremhæves og der lægges også vægt på uddannelse. Denne afbalancerede tilgang lægger op til en potentiel strid om, hvordan man bedst kan forbedre netsikkerhed og samtidig beskytte menneskerettighederne. Rapporten indeholder en lang række korte og mellemlange initiativer og opfordrer til udnævnelse af direktører for privacy og frihedsrettigheder i diverse regeringsorganer samt oprettelse af en helt ny styrelse for privacy og frihedsrettigheder, som skal have indflydelse på netsikkerheden.

Selvom det Hvide Hus i rapporten indleder med den antagelse, at en middel regulering af infrastrukturen baseret på internettet, indebærer en trussel, så synes den alligevel at anerkende, at en ikke for stram regulering har været afgørende for internettets innovation, frihed og åbenhed. Rapporten giver myndighederne en tilstrækkelig fleksibilitet til at gennemføre de foranstaltninger, som den anbefaler, uden hårdhændet regulering. Men der henstår stadig en masse detailbeslutninger f.eks. om teknologianvendelsen og hvad det betyder at opbygge en netsikker identity management vision og strategi, som kræver nøje bevågenhed fra offentligheden og interesseorganisationer.

Såfremt det er hensigten at privacy skal have en central placering, så kommer man ikke uden om, at brugerbeskyttelsen forudsætter brugerkontrol. Man kan derfor som Center for Democracy & Technology sige, at rapporten indeholder lige så meget signifikant, som den udelader. Det er dog væsentligt at hæfte sig ved, at privacy har fået en hidtil uset anerkendelse som en del af et robust internet.

Download rapporten her.

New York Times har bedt en række eksperter, herunder Ron Deibert, University of Toronto, Gus Hosein, London School of Economics and Political Science og Bruce Schneier om at kommentere rapporten, tjek: http://roomfordebate.blogs.nytimes.com/2009/05/29/a-plan-of-attack-in-cyberspace/

Er Præsident Obama’s tale vendepunktet i kampen mod terror ?

   Official White House photo by Pete Souza

USA´s præsident Barack Obama holdt d. 21. maj 2009  en tale med titlen “Protecting Our Security and Our Values”. Talen blev givet i historiske og tankevækkende rammer, nemlig i nationalarkivets skyhøje marmor og kalkstens rotunde i Washington, som bl.a. udstiller den originale amerikanske uafhængighedserklæring udstedt den 4. juli 1776.

I sin tale, der indledes med, at “These are extraordinary times for our country” præsenterer præsident Obama sin tilgang til bekæmpelsen af terrorisme i forhold til amerikansk lov og amerikanske værdier og han skitserer de eksisterende problemer og de udfordringer, der er for at løse dem.

Efter at have nævnt de skridt der er taget siden 2001 i kampen mod ekstremister, herunder en bedre beskyttelse af USA´s grænser, et øget beredskab overfor eventuelle fremtidige angreb og en global ikke-spredningsordning, der skal forhindre at verdens farligste mennekser skal få adgang til verdens mest dødelige våben, fastlår præsidenten, at alle disse initiativer er nødvendige for at hodle USA sikker. Og han fortsætter:

“Men jeg mener med hver fiber i min krop, at i det lange løb vil vi ikke kunne holde dette land sikkert, medmindre vi mobiliserer kraften i vores mest fundamentale værdier. De dokumenter, vi opbevarer her i salen , uafhængighedserklæringen, forfatningen, Bill of Rights, er ikke bare ord skrevet på gammelt pergament. De er grundlaget for frihed og retfærdighed i dette land, og et lys, der stråler for alle, der søger frihed, retfærdighed, lighed og værdighed i verden.”

Længere henne i talen, fastslår Obama, at Bush-regeringen foretog en række forhastede beslutninger, der selvom de var motiveret af et oprigtigt ønske om at beskytte det amerikanske folk, imidlertid også alt for ofte har været baseret på frygt i stedet for fremsyn.

Og han fortsætter: “Med andre ord, vi er kommet ud af kurs…. Lad mig sige det helt klart: Vi er virkelig i krig med al Qaeda og deres allierede. Vi har brug for at opdatere vores institutioner til at håndtere denne trussel.  Men vi må gøre det med en varig tillid til retsstaten og en retfærdig rettergang; i kontrol og balance og ansvarlighed.”

Herefter koncentrerer Obama sig meget om sin beslutning om at lukke Guantanamo fængslet og hvorledes det skal finde sted. Herom vil jeg ikke gå i detaljer i denne sammenhæng selvom beslutningen i høj grad er manifestationen på præsidentens nye holding til retssikkerhed.

I slutningen af sin tale siger Obama,at “det amerikanske folk er ikke ekstremister og de vælger os ikke for at have en rigid ideologisk holdning til vore problemer. De ved, at vi ikke behøver at ofre vores sikkerhed for vores værdier, og heller ikke at give afkald på vores værdier for vores sikkerhed, så længe vi tilgår vanskelige spørgsmål med ærlighed, bekymring og en dosis af almindelig sund fornuft.”

Det centrale budskab i præsidentens tale, der på formidabel vis blev understreget af de pompøse omgivelser og effekten af den rungende genlyd den kastede af sig i den store kuppelsal er , at der ikke er nogen modsætning i at forsvare de amerikanske værdier og samtidig beskytte nationens sikkerhed.

For mig at se, er talen den vigtigste præsident Obama endnu har holdt indtil dato. Den vil få kolossal psykologisk betydning og efter min bedste overbevisning indvarsle en ny holdning til terrorkampen og overholdelsen af menneskerettighederne ikke alene i USA men også i resten af verden. Det er ikke kun fordi det er indehaveren af verdens mægtigste embede der siger det, men fordi det netop er Barack Obama. For han mener det alvorligt. Det er ikke blot symbolpolitik. Overalt i verden vil menneskerettighedsorganisationer få medvind og kunne presse regeringer og politikere, som sikkert også selv visse steder vil  lade sig inspirere og anspore til at tage beskyttelsen af menneskerettighederne mere seriøst i forhold til kampen mod terror. Der er ikke nogen tvivl om, at retsbeskyttelsen for det enkelte individ ikke vil blive svækket yderligere, men tværtimod vil blive styrket respektive genoprettet og bekæmpelsen af terror vil blive mere afbalanceret i forhold til menneskerettighederne generelt og herunder i forhold til privacy og persondatabeskyttelse. Danmark vil ikke være nogen undtagelse. Denne indstilling vil givetvis også blive fremmet af den kendsgerning, at den internationale terror vurderes at være aftagende fremover i takt med, at Al-Qaeda-netværket mister opbakning samtidig med at chokvirkningen fra 11/9 er ved at lægge sig.

Som forekæmper for menneskerettigheder og privacy er der derfor rigtig god grund til at være optimist.

Se video med hele præsident Barack Obama´s tale nedenfor.

Vodpod videos no longer available.

EU´s databeskyttelsesdirektiv bør opdateres

The Rand Corporation, en uafhængig privat non profit organisation, har for nylig med The Information Commissioner’s Office (det engelske datatilsyn) som sponsor udarbejdet en rapport med titlen ”Review of the European Data Protection Directive”.

Der gøres opmærksom på i indledningen , at rapporten ikke nødvendigvis reflekterer The Information Commissioner’s Office holdninger. The Information Commissioner’s Office har spurgt et tværfagligt internationalt forsknings team, heriblandt repræsentanter for EU Kommissionen, under ledelse af Rand Europe om, at gennemgå styrker og svagheder ved EU´s databeskyttelsesdirektiv 95/46/EC (herefter benævnt ”direktivet”) og foreslå veje til forbedringer.

Direktivet kan betragtes som et unikt lovbestemt instrument til at understøtte udøvelsen af retten til privacy og regler for persondatabeskyttelse. Dets principper bliver mange steder anset som gyldne regler eller som en reference model for persondatabeskyttelse i Europa og andre dele af verden.

Selvom direktivets fleksibilitet hjælper med til at det kan være up to date, så bliver direktivets effektivitet undermineret af kompleksiteten af de kulturelle og nationale forskelle, som den skal omfatte. I de 13 år siden direktivet har været i kraft, er der sket dramatiske ændringer i verden i den måde persondata er tilgængelige, behandles og anvendes. På samme tid er offentligheden i høj grad blevet opmærksom på potentialet for at deres persondata kan blive misbrugt.

Rapporten konkluderer helt overordnet, at eftersom vi bevæger os hen imod et globalt internet samfund, vil direktivet, som det ser ud i dag, ikke være tilstrækkelig i længden. Mens direktivets vidt anerkendte principper vil forblive som et nyttigt front-end, bør de understøttes af en skadebaseret back-end for at kunne hamle op med de internationale datastrømme og globaliseringsudfordringen. Det er dog også almindelig anerkendt, at de nuværende ordninger stadig har nytteværdi. En hel del kan opnås ved en bedre implementering af de nuværende regler, for eksempel ved at skabe enighed om fortolkningen af en række centrale begreber og ved at ændre vægtningen i forbindelse med fortolkningen af andre.

Som det fremgår af rapporten, anses det for den værste løsning (for de fleste eksperter) at opgive direktivet i sin nuværende form, eftersom den har tjent og fortsat tjener som et incitament til at tage databeskyttelse alvorligt. Individets privacy påvirkes af en række overlappende drivers, herunder behovet for at behandle personlig information af sociale og økonomiske grunde, teknologisk udvikling og trends som internettets popularitet og globalisering. Udbredelsen af e-commerce og e-government er centreret på personlige oplysninger. Personer er ofte villige til eller kan overtales til at videregive persondata i forventning om at modtage økonomiske eller sociale fordele. Offentlige og private organisationer er glade for at give disse fordele, men for at kunne gøre det, skal de have tilladelse til lovligt at indsamle, overføre og behandle informationen. Personer er også begyndt at indsamle, forvalte og bruge persondata på tilsvarende måde, f.eks. via sociale netværkssites.

De interviews som er blevet gennemført i forbindelse med denne undersøgelse illustrerer, at forskelle i gennemførelsen af direktivet har været resultatet af et kompleks interplay af faktorer, herunder juridisk arvegods, kulturelle og historiske normer samt personlige og institutionelle karakteristika hos myndighederne.

Udfordringer

I en kontekst af en hastig teknologisk udvikling og globalisering, er et sæt af karakteristiske udfordringer blevet identificeret:

• Definere privacy – hvornår indvirker behandling af persondata på privacy og hvornår gør den det ikke; og hvor stærkt skal sammenhængen være mellem regler om databeskyttelse og privacy beskyttelse ?
• Risiko analyse – kan vi forudse hvor stor risikoen er ved at overlade personlige oplysninger til en myndighed eller organisation ?
• Individets rettigheder i relation til almenvellet – under hvilke omstændigheder vil privacy være underordnet samfundets behov, når man tager i betragtning den fundamentale betydning af privacy beskyttelse for udvikling af et demokratisk samfund som sådant ?
• Transparens – persondata er overalt, især online, og kan på grund af den teknologiske udvikling som ambient intelligence og cloud computing blive overordentlig vanskelig at spore og kontrollere. Hvordan kan vi være sikre på hvordan og hvor de bliver brugt ?
• Give valgmuligheder – mange services tilbydes kun såfremt tilstrækkelig persondata frigives, men såfremt vigtige services nægtes, når vi er uvillige til at supplere disse data, har vi så et reelt valg ?
• Ansvarstildeling (accountability) –hvem holdes i sidste ende ansvarlig og hvor går vi hen for at få oprejsning ?

Styrker og svagheder

Undersøgelsen identificerer en række styrker og svagheder i forbindelse med direktivet. De væsentligste styrker er:

• Direktivet tjener som reference model for good practice.
• Direktivet harmoniserer principper for databeskyttelse og muliggør til en vis grad et internt marked for persondata.
• Det princip-baserede framework tillader fleksibilitet.
• Direktivet er teknologi neutral.
• Direktivet har forbedret awareness om bekymringen for databeskyttelse.

De væsentligste svagheder er:

• Forbindelsen mellem konceptet for persondata og reelle privacy risici er uklar.
• Midlerne der sigter på at skabe gennemsigtighed af databehandlingen ved hjælp af bedre information og notifikation er inkonsekvent og ineffektiv.
• Reglerne for data eksport og overførsel til 3. land er forældet.
• Redskaberne for overførsel af data til 3. lande er besværlige.
• De enkelte Datatilsyn´s rolle i forbindelse med ansvarstildeling og håndhævelse er inkonsekvent.
• Definition af myndigheder/organisationer, som er involveret i behandling og forvaltning af persondata er overforenklet og statisk.
• Der er andre mindre svagheder som har sammenhæng med vanskeligheder i den praktiske gennemførelse.

Anbefalinger

Rapportens team af eksperter har formuleret et sæt af praktiske rekommandationer med henblik på at få det meste ud af den gældende lovgivning samtidig med at foreslå en fremtidssikret reguleret arkitektur.

• Medlemslande, der faciliteres af EU Kommissionen, har behov for at enes om en effektiv fortolkning, implementering og håndhævelse af direktivet, herunder at opfordre til en risiko-baseret tilgang, med ikke-notifikation som den generelle regel snarere end undtagelsen, for at sikre at bindende virksomhedsregler (Binding Corporate Rules) lettere kan finde anvendelse for at legitimere data overførsel til 3. Lande, forbedre ansvarstildeling og hjælpe med til at databehandling lever op til krav om gennemsigtighed. EU Kommissionen bør forbedre effektiviteten af reglen om tilstrækkelighed ( af beskyttelsesniveaet for personoplysninger) samt facillitere brugen af alternativer som f.eks. aftaleklausuler og Binding Corporate Rules.
• Direktivet bør eksplicit inkluderes i listen over love som skal revideres i henhold til the Better Regulation agenda.
• Artikel 29 arbejdsgruppen bør arbejde frem mod at præcisere privacy normer og standarder, rollen for ”privacy-by-design” for nye teknologier og forretningsmodeller som støtter compliance.
• The London Initiative bør udvikle en almengyldig strategi for håndhævelse til brug for uafhængige tilsynsmyndigheder ved hjælp af en ikke-bindende samarbejdsaftale (Memorandum of Understanding).
• Artikel 29 arbejdsgruppen bør udvide kontakten til repræsentanter for erhvervslivet, civilsamfundet og NGO´er.
• Datatilsyn med rådgivning fra den Europæiske Tilsynsførende for Databeskyttelse (EDPS), bør opmuntres til at udvikle mere tilgængelige privacy policies, f.eks. sammenlignelig med modellen for Creative Commons for ophavsret og licenser.
• Medlemslande bør arbejde sammen med forbrugerorganisationer med henblik på at indføre et system af lokale repræsentanter med henblik på at hjælpe personer med at udøve deres rettigheder samt medvirke til at aflaste datatilsynsmyndgheden.

Med henblik på at gøre europæisk governance arkitektur levedygtig i lyset af international data flows, anbefaler rapporten også, at den kommende 2009  Consultation overvejer en alternativ model, som er baseret på følgende:

1.   Definere  high level formål
2.   Definere globale ensartede privacy principper (“General Principles”) baseret på velkendte eksisterende instrumenter for databeskyttelse som f. eks.    i Den Europæiske Unions charter om grundlæggende rettigheder og Europarådets konvention nr. 108;
3.   Implementere værktøjer og instrumenter for at gennemføre disse, og
4.   Forudsigelige, effektive retshåndhævelsesmidler for at sikre ansvarsplacering, såfremt resultaterne ikke opnås eller principperne ikke respekteres.

Det vil indebære en revision af direktivet med henblik på at blive et instrument, som klart beskriver:

1.   Udbytte ud fra interessenters forventninger:

o Individer – at opretholde en klar og effektiv beskyttelse når som helst persondata bliver behandlet, herunder med hensyn til ansvarspligt for den dataansvarlige og hermed bidrage til beskyttelsen af privacy. At have et valg til at udøve signifikant kontrol over ens egne persondata, herunder at dele persondata med en betroet 3. Part, eller at kunne tilbageholde disse, men at være opmærksom på de implikationer dette har  i nutidens informationssamfund.
o Offentlige og private organisationer – at være i stand til at gore brug af persondata samt udlede en økonomisk eller samfundsmæssig værdi, så længe det sker i overensstemmelse med “General Principles”, især ved at databehandle i henhold til de fastsatte formål, samt sikre legitimitet for den pågældende aktivitet i medfør af de opstillede regler og at de vil blive draget til ansvar, såfremt reglerne ikke følges.
o Datatilsyn – at handle uafhængigt, rimeligt og fornuftigt i forhold til den offentlige og private sektor. Om nødvendigt at gøre brug af retshåndhævelse for at udvikle god praksis og for at sikre erstatning ved forvoldt skade.

2.   Ensartede globale principper for privacy beskyttelse:

o Legitimitet – definere hvornår behandling af persondata er acceptabel.
o Formålsbegrænsning – sikre at persondata  kun behandles i den udstrækning det er nødvendigt for at opfylde de formål, de er blevet indsamlet til. Yderligere brug forudsætter datasubjektets samtykke.
o Security og fortrolighed – et specifikt krav om at den registeransvarlige tager passende tekniske og organisatoriske forholdsregler.
o Transparens – at passende niveauer af gennemsigtighed sikres for datasubjektet.
o Medvirken af datasubjektet – sikre sig at datasubjektet kan udøve sine rettigheder effektivt.
o Ansvarspligt –  at de som behandler persondata bliver gjort ansvarlige for deres handlinger i henhold til de fastlagte  retsvirkninger.

For at sikre at de fastlagte principper gennemføres fordrer det iværksættelsen af en lang række initiativer, som f.eks.:

o Udarbejdelse af privacy policies
o Offentliggørelse af privacy statements og notifikationer
o Udnævnelse af privacy ansvarlige
o Udarbejdelse af adfærdskodeks (Codes of Conduct)
o Udarbejdelse af Corporate  Governance
o Privacy rapportering af virksomheder og myndigheder
o Udarbejdelse af standarder
o Udarbejde en privacy mærkningsordning
o Udarbejde privacy konsekvensanalyser (privacy impact assessments)
o Udvikle privacy teknologier (privacy by design)
o Gennemføre målrettede informationskampagner

For at understøtte disse virkemidler er en effektiv retshåndhævelse nødvendig, herunder at indgå strategiske partnerskaber mellem datatilsyn og forbrugerorganisationer, især i lande med en stærk forbrugerkultur. Datatilsynets rolle vil herefter ændres henimod en mindre fokus på proces og formalia check, men i stedet sigter mod en mere effektiv retshåndhævelse og for at sikre ansvarlighed.

Ifølge rapporten viser den gennemførte forskning tydeligt, at privacy beskyttelsens succes eller fiasko i første række ikke afhænger af lovteksten, men om dem som skal håndhæve loven har de rette virkemidler.

Kommentarer

Rapportens ideer giver føde til eftertanke og en interaktiv debat mellem det politiske system, industrien og eksperter om hvordan man kan forbedre databeskyttelsen i Europa er altid nødvendig.

Det har længe været på tale at databeskyttelsesdirektivet trænger til et serviceeftersyn. Meget er sket siden 1995 og især efter 11. september 2001. Den teknologiske udvikling og globaliseringen ændrer hele tiden behovet for en effektiv databeskyttelse og privacy. Online sociale netværk, online forbrugeradfærdsdata, genetisk forskning er nogle af de emner som trænger til en mere specifik data- og privacy-beskyttelse samt europæisk for ikke at sige global harmonisering. Jeg er helt enig i betragtningen om, at databeskyttelsen bør være mere integreret med privacy og at disse begreber bør defineres klarere.

Rapporten foreslår en række spændende initiativer med henblik på at fremme databeskyttelsen i Europa og jeg hilser debatten velkommen også i Danmark. Persondataloven, som bygger på direktivet, er på mange måder en god lov, men mange af de ideer, der lanceres i rapporten, kan givetvis være med til at finjustere loven.  Det bør dog ikke være usagt, at Datatilsynet under alle omstændigheder har behov for flere ressourcer, herunder IKT ekspertise,  for at kunne leve op til sine forpligtelser.

Lad mig i den sammenhæng anbefale forslaget om, at Datatilsynet indgår strategiske samarbejdsaftaler med diverse organisationer, f.eks. branche- og interesseorganisationer, Forbrugerrådet m.fl.

Som kick-off for en konstruktiv dialog og for at stimulere debatten kunne man forestille sig, at Datatilsynet arrangerer en workshop for organisationer, myndigheder, eksperter osv.

I persondataloven er  den dataansvarlige defineret som “Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.” (§ 3, nr. 4).  Ligeledes fremgår det af loven, at hvis en fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ behandler oplysninger på den dataansvarliges vegne, betegnes denne ”databehandler” (jf. § 3, nr. 5). Efter min opfattelse bør enhver organisation af en vis størrelse udpege en såkaldt persondataansvarlig person, fordi ansvaret hermed gøres mere tydeligt og mere forståeligt ved at det bliver personificeret. Både den dataansvarlige så vel som databehandleren bør have pligt til at gennemgå en certificeret uddannelse  i databeskyttelse og privacy. Til sammenligning kan anføres, at flere europæiske lande har en uddannelse som Data Protection Officer, der er en beskyttet titel.  Uddannelsen kunne meget vel indgå i et videre meritforløb med eksempelvis informationssikkerhed, menneskerettigheder mm. herunder på bachelor/master niveau.

Regeringen har en vision om, at

Vi skal være et førende vidensamfund
Vi skal være et førende iværksættersamfund
Vi skal være verdens mest konkurrencedygtige samfund og
Vi skal skabe uddannelser i verdensklasse

Denne ambitiøse vision skal vi selvfølgelig også have os for øje, når det drejer sig om databeskyttelse og privacy.

Download hele rapporten her.

Privacy skal ikke hæmme men fremme internetbaserede sociale netværk

Sociale netværk er in globalt og Danmark er sammen med Canada, de to lande i verden med forholdsvist flest Facebook-profiler. 33 procent af befolkningen eller 1.779.380 i Danmark er aktive brugere af netværket (ifølge Politiken, januar 2009).

Der er ingen tvivl om, at internetbaserede netværk vil blive en integreret del af vor hverdag og det uanset om det er i forbindelse med arbejdet eller i fritiden. Og vi har kun set begyndelsen til en udvikling hvor det vi i dag oplever som real life vil blive sammensmeltet med den virtuelle verden. Vi vil opdage, at den måde vi indtil nu har opført os overfor hinanden på vil udvikle sig på en ny måde, hvor vi vil erkende, at vi ikke uden videre kan adoptere gammeldags omgangsformer til internettet. Definition af privacy vil ikke alene være et spørgsmål om at fastslå hvad der er personlige data, men også hvorledes f.eks.  “det offentlige rum” og “den personlige integritet” fastlægges i forhold til arbejdsgiver, kollega, ven, barn, forældre og organisation.      

Det betyder så også, at vore traditionelle normer og værdier må tilpasses den måde vi interagerer socialt og det vil så også påvirke hele vor livsførelse i fremtiden. Det er mit udgangspunkt, at internettets potentiale er den største demokratiske nyskabelse nogensinde. Retten til internetadgang skal derfor fastholdes for det enkelte menneske. Men internettet stiller samtidig nye udfordringer til sikkerhed og beskyttelse af privacy. Disse udfordringer er i første omgang komplicerede fordi de forudsætter nytænkning. Nytænkning som afbalancerer netværkets sammenhængskraft, engagement og innovation og beskyttelsen af den enkeltes privacy og frihedsrettigheder baseret på fuld brugerkontrol.

Man kan tilgå problemet ud fra 3 niveauer.

etisk
lovgivningsmæssigt og
teknologisk

Lovgivning er sikkert nødvendig og både persondataloven så vel som markedsføringsloven regulerer allerede i dag i vidt omgang de sociale netværk for så vidt angår Danmark, men lovens jurisdiktion og retshåndhævelse kan være usikker. Derfor vil en gennemgribende og ikke mindst effektiv lovgivning kræve et internationalt regelsæt. Men lovgivningen vil altid halse bagefter den informationsteknologiske udvikling og kan i sagens natur kun regulere de mest grelle scenaria.  Om de juridiske aspekter i relation til FaceBook henvises til et tidligere blogindlæg af Martin Jørgensen, cand. jur. ,Senior Consultant, Deloitte/ Security & Privacy. Teknologiske løsninger som f.eks. “opt in”- mekanismer eller PET (Privacy Enhancing Technologies) kan anbefales, men en optimal udnyttelse forudsætter global tilslutning. Sidst men ikke mindst vil udvikling af såkaldte etiske adfærdskodeks være en, efter min opfattelse, udmærket metode til at sikre en effektiv forbrugerbeskyttelse, der samtidig synes at være tilstrækkelig fleksibel til at kunne tilpasse sig den pulserende udvikling af internettet. Adfærdskodeks har så også den fordel at de ikke alene vil være baseret på eksisterende national lovgivning, men vil også kunne gå et skridt videre og samtidig kunne fastsætte teknologiske kriterier for privacy.

Adfærdskodeks (code of conduct) er desuden en god ide, fordi alle, som tilslutter sig, har en interesse i leve op til retningslinjerne. Om der derudover skal indføres en eller anden form for kontrolmekanisme kan imidlertid ikke udelukkes.

Arbejdsgivere følger med i medarbejdernes sociale netværk, og det er kommet frem, at ansatte er blevet fyret på grund af deres online aktiviteter.  De tider er forbi. hvor du vil kunne slippe af sted med at lyve, hvor du opholder dig, hvem du er sammen med eller hvad du foretager dig, såfremt der bare er én tilstede, som har en kameramobil og en Facebook profil. Og når dine arbejdskollegaer tilføjer dig som ven på dit sociale netværk, er det ikke sådan lige til, at chatte om alle de tossede ting du foretog dig lørdag aften. Sådan oplever mange det i dag. Men behøver det at være sådan ?

Læg hertil, at det vil være naturligt at antage, at de fleste arbejdsgivere frygter en overdreven brug af online sociale netværk, som yderligere vil medvirke til en øget overvågning og/eller begrænsning af adgangen til internettet. Således viser en survey fra marts 2008 af det engelske advokatfirma Charles Russell i samarbejde med nyheds-sitet Personnel Today med deltagelse af 220 engelske HR direktører, at 69% af virksomhederne ønsker mere kontrol med brugen af Internettet. Arbejdsgiverne er bekymret for, at personalet spilder deres tid på hjemmesider i løbet af dagen, hvilket kan svække produktiviteten og betyde en øget sikkerhedsrisiko, fordi data deles eksternt.

I undersøgelsen advarer nogle HR direktører imod et totalt forbud mod brug af sociale netværk, fordi det vil skade medarbejderens engagement. Således udtales det, at “ved at behandle vores medarbejdere som voksne giver det os mulighed for at have åbne diskussioner om, hvordan balancen mellem arbejdsliv og det at være social i arbejdstiden skal være”

Hvordan vil arbejdsgiverne reagere ifølge undersøgelsen ?

50% vil begrænse personlig brug af internettet til frokostpausen
33% vil overveje et totalforbud
70% vil overveje disciplinære foranstaltninger, hvis de opdager upassende fotos på online sociale netværk, som  identificerer arbejdsgiveren
25% vil søge efter online sociale netværk som et ansættelses-værktøj
90% vil ikke søge efter upassende kommentarer på online sociale netværk

At problematikken også er yderst relevant i Danmark viser en aktuel sag hos Nordjyllands Politi, hvor 12 betjente har været medlemmer af Facebookgruppen ‘Ryd 1000fryd’, jfr. artikel i Politiken Chefen må blande sig i din Facebook.

Der har især været fokus og debat om børns sociale netværk og det har været fremme at indføre forskellige teknologiske løsninger til beskyttelse af børn, når de er online, f. eks. ved at indføre en “privacy lås”.

Selv for ansvarsbevidste forældre, er grænsen mellem det at være social, at snage og bryde privatlivets fred som oftest en gråzone.

Lad mig indledningsvis pege på en engelsk undersøgelse offentliggjort af  Timesonline i april 2008 og foretaget af Ofcom, en uafhængig engelsk tilsynsmyndighed for kommunikation. Her viser undersøgelsen, at 2 1/2 million børn mellem 8 og 17 har oprettet en profil på et socialt netværk. Undersøgelsen fremhæver, at forældre ikke er opmærksomme på, at dårlig sikkerhed betyder, at omkring fire ud af ti personlige sider er åbne for alle.

Undersøgelsen fastslår, at selv om de tre vigtigste sociale netværk, Bebo, Facebook og MySpace, påstår at have en minimums aldersgrænse på 13 eller 14, så siger 1/4 af alle børn med internetadgang i alderen mellem 8 og 11, at de har en side på et social netværk. Undersøgelsen viser også, at 33% af forældrene gik med til ikke at opstille regler for deres børns brug af online sociale netværk, mens 43% af børnene har sagt, at deres forældre havde undladt at angive nogen regler for deres brug af online sociale netværk. Noget kunne hermed tyde på, i alt fald efter den engelske undersøgelse, at alt for mange forældre ignorerer de risici der er forbundet med disse websteder.

Frygt for børns sikkerhed fremhæves som en voksende bekymring, herunder tilfælde af opmuntring til selvmord, mobning og pædofili.

For at imødegå problemet har det engelske indenrigsministerium i 2008 offentliggjort en frivillig adfærdskodeks for sociale netværk. Bebo, MySpace og Facebook er enige om, at når børn under 18 opretter en profil vil være omfattet af en høj standard indtilling for privacy beskyttelse.

I et sammendrag fra konferencen Privatliv på profilen om borgernes adfærd på online sociale netværkstjenester d. 11 november 2008 arrangeret af It-sikkerhedskomitéen, blev der bl.a. efterlyst klarhed over den retstilstand, der gælder for udbydere og brugere. Der blev også stillet spørgsmål om forbrugerlovgivningen er på niveau med moderne krav til it-sikkerhed, og om der er behov for en bedre beskyttelse af borgernes privatliv. Desuden blev der udtrykt ønske om at få en afklaring af, i hvilket omfang dansk lovgivning kan håndhæves overfor online sociale netværkstjenester, der retter sig mod et dansk marked og danske brugere.

Det kom også frem, at der hvor der mangler regler, vil der opstå erfaringsbaseret kodeks for god etik og moral. Det ser man også i forhold til brugerne på online sociale netværkstjenester, ikke mindst blandt børn og unge. På netværkstjenesterne holder brugerne øje med hinanden og informerer tjenesteadministrator, som det fremgår af It- og Telestyrelsens kommentar.

Forbrugerrådet har taget et godt initiativ og offentliggjort Gode råd til facebookbrugere.  Forbrugerrådet har imidlertid i snart et halvt år peget på, at FaceBook overtræder den danske persondatalov, men medgiver at et EU indgreb er nødvendigt. En nylig undersøgelse af Forbrugerrådet viser, at  Brugerne er utilfredse med beskyttelsen på Facebook.

Lad mig først slå fast, at erfaring fra udlandet viser, at det vil være både praktisk og juridisk umuligt helt at afskære medarbejderes brug af sociale netværk.  Det vil efter min opfattelse også være tåbeligt. Selvfølgelig bør man ikke bruge unødig tid på sit arbejde på internetbaerede sociale netværk, men de kan selv for en virksomhed tjene en legitim forretningsmæssig generering og netværkssamarbejde udover at udvikle medarbejderens trivsel og engagement.

Det er min opfattelse, at det vil være en fordel for både arbejdsgiver og medarbejder, at en offentliggjort adfærdskodeks fastsætter retningslinjer for brug af sociale netværk. En adfærdskodeks demonstrerer et etisk ansvar ved at tage stilling til klart definerede problemstillinger.

Også i forhold til forældre og børn giver det god mening at anbefale en adfærdskodeks og man kan udmærket  tage udgangspunkt i den engelske adfærdskodeks som viser afprøvede og fornuftige metoder til at holde sig sikker online og som kan udfylde et muligt gab mellem lovgivning og konkret praksis. En adfærdskodeks vil under alle omstændigheder være et fornuftigt første skridt, fordi det uden tvivl vil være kompliceret at lovgive om online sociale netværk, al den stund det ville være meget vanskeligt at skelne dem fra andre websteder.

Så vidt så godt. Imidlertid består der en opgave, som antydet indledningsvis, i klart at definere privacy beskyttelsen på online sociale netværk. Det vil i den forbindelse være nærliggende at antage, at internettet ikke bør opfattes som et unikt separat rum, men som en udvidelse af det virkelige liv. En netop offentliggjort artikel i Berlingske Tidende Nej tak til forældre på Facebook påpeger dette på glimrende vis med nogle interessante betragtninger af professor  Niels Ole Finneman.

EU-lovgivning om online-annoncering på vej

Dansk Privacy Netværk omtalte i februar måned en rapport fra Den amerikanske Federal Trade Commission om brug af online sporing og forbrugeradfærdsdata i reklameøjemed og anbefalede på den baggrund, at man i Danmark undersøgte behovet for at indføre en adfærdskodeks.

Nu har Meglena Kuneva, EU-kommissær for forbrugeranliggender, i en tale for erhvervsfolk og analytikere i Bruxelles d. 31. 3. signaleret nye regler for at bekæmpe profilering af internetbrugere og krænkelse af privacy i forbindelse med markedsføring. Meglena Kuneva anfører, at persondata er blevet ” internettets olie og den nye valuta i den digitale verden”. Hun advarer, at internetbrugeres privatlivs-rettigheder bliver misbrugt, når personlige oplysninger  indsamles og leveres til annoncører, der målretter reklamer til personer uden at de er klar over det. ” Baseret på kommerciel kommunikation  tegner world wide web til at blive the world wild west. Det kan blive meget skadeligt. Forbrugernes rettigheder skal tilpasses teknologien, ikke knuses af den. Den nuværende situation med hensyn til privatlivets fred, profilering, og målretning er ikke tilfredsstillende.” Kommissæren skitserede den europæiske lovgivning om beskyttelse af privacy, om kommercielle kontrakter og om modvirkning af  diskrimination, og oplyste, at reglerne ikke holder trit med med tempoet i udviklingen af internettet.

Hun opfordrer online reklamebranchen til at  komme med en frivillig adfærdskodeks for at beskytte forbrugernes privacy, men gør det samtidig klart, at EU sandsynligvis vil blive nødt til at lovgive på området for at modvirke misbrug. Mængden af personlige data, der indsamles på internettet, vokser eksponentielt, og bliver i stigende grad brugt til kommercielle formål ved at spore brugeres internetvaner ved hjælp af cookies, og ved at gøre oplysningerne tilgængelige for individuel profilering og målretning af forbrugerne, som hun udtrykker det.

Eftersom den personlige annoncering er tilpasset den enkeltes interesser og online shopping vaner, ” bør der nu udvikles værktøjer, som afvejer erhvervslivets og forbrugernes interesser”, siger Kuneva.

Den bulgarske kommissær tilføjer, at hun har bestilt forskning i brugen af internettet, som viser, at personer under 25 år og som er dem, der er mest vant til at bruge internettet, også er dem, som er mest mistænksomme og sammenlignede deres brug af internettet, som når man drikker, man ved er en smule forgiftet. “Vi vil ikke tillade en sådan markedssituation eksisterer for vand, kosmetik eller legetøj” siger hun.

Omkring 80% af unge internetbrugere tror, at deres personoplysninger bliver delt med tredjeparter og brugt uden deres viden. “De har ret,” siger Kuneva. “Den nye virkelighed er, at forbrugerne betaler for tjenester med deres personlige data og deres eksponering for annoncer.” Hun lægger op til den samme fairness og gennemsigtighed, som gælder for kommercielle kontrakter. “Børn og unge er særligt sårbare over for de markedsføringsstrategier for markedsføring, der anvendes af online-annoncører, som også vil være i stand til at udnytte de privilegerede oplysninger om enkeltpersoner med henblik på forskelsbehandling. ” Den nuværende lovgivning forbyder annoncer, der opfordrer børn til at bestorme deres forældre, men vi siger ikke noget til annoncer, der beder dem om, at bestorme deres venner”,  sagde Kuneva.

Denne udmelding fra EU kommissær  Meglena Kuneva, som indeholder mange gode pointer, bør nu få branchen til at reagere før det er for sent. Det vil alt andet lige være bedst om branchen selv kan blive enige om en adfærdskodeks, i stedet for en lovgivning, som ofte vil blive rigoristisk og bureaukratisk.

I øvrigt henvises til en nylig rapport In Defense of Data: Information and the Costs of Privacy, som er udgivet af The Technology Policy Institute, der er en kommerciel tænketank. I rapporten anføres det,  at der ikke foreligger detaileret information om fordelene ved mere privacy og at privacy-fortalere ignorerer de omkostninger og trade-offs (mindre information), som er forbundet med øget privacy. Rapportens fokus på fordelene ved brug af forbrugerbestemte adfærdsdata, er relevant og argumenterne bør indgå i overvejelserne om hvordan en hensigtsmæssig regulering, enten som adfærdskodeks eller lovgivning, bør være. Rapporten synes imidlertid at overse den væsentlige pointe, at forbrugertillid er en essentiel driver for væksten i det digitale marked og at tilliden i høj grad forudsætter gennemsigtighed og valgfrihed, jfr. således f. eks. rapporten Digital Confidence – Securing the Next Wave of Digital Growth.

Retten til privatlivets fred og virksomhedens samfundsansvar

I 2001 anklagede en rapport fra organisationen Rights & Democracy den Canadiske telegigant Nortel Networks for at bidrage til menneskeretskrænkelser i Kina. De kinesiske politi- og sikkerhedsmyndigheder brugte teknologien til at forbedre identifikationen og undertrykkelsen af politiske dissidenter. Rapporten gav videre en oversigt over Nortel’s langvarige engagement i at udvikle overvågningsteknologier både i Canada og i udlandet. I 2005 istemte Flere menneskerettigheds organisationer kritikken og anklagede, udover Nortel Networks, USA’s højteknologiske giganter som Cisco Systems, Sun Microsystems, Google, Yahoo, og 3Com firma for at have hjulpet Kina med at opbygge og mestre den mest raffinerede overvågningsinfrastruktur i verden.
 
Google ansatte sidst i 2005 en anerkendt specialist i menneskerettigheder og erhverv som direktør med ansvar for ’Public Affairs’. Som svar på den stigende nationale censurering af Internettet lancerede internet-giganten i 2007 et nyt initiativ for at modgå denne tendens og bad Amerikanske handelsinstanser om at behandle internetrestriktioner på lige fod med andre internationale handelsbarrierer, såsom tariffer. Samtidig tog kritikken til i 2007 da en kinesisk systemkritikers viv bekendtgjorde, at hun ville sagsøge Yahoo, der har base i U.S.A. fordi virksomheden har hjulpet de kinesiske myndigheder til at få hendes mand fængslet, efter at han havde offentliggjort artikler på Internettet. Manden blev i 2003 idømt ti års fængsel på grund af de ”undergravende” artikler. Siden har også Yahoo! ansat en menneskeretsspecialist.

Med udgangspunkt i den internationale principbaserede tilgang til CSR, hvor UN Global Compact principperne udgør kernen, er der i dag ikke tvivl om at virksomheder skal vurdere, i hvilket omfang de krænker eller medvirker til krænkelse af de basale menneskerettigheder, og hvordan de bedst kan bidrage til samme.

I den uendelige krig mod terror, da den ene part aldrig vil kunne kapitulere, bliver privatlivets fred sat over styr over hele verden. Virksomheder bliver ofte brugt som leverandører eller mellemmænd i denne tendens. Særligt teknologi virksomheder må træffe deres forholdsregler, men alle virksomheder kan potentielt krænke alle rettigheder. CSR stiller således krav til enhver virksomhed, at den også sikrer, at den ikke krænker privatlivets fred. Lige fra det basale krav om at virksomheden respekterer medarbejdernes ret til privatlivets fred i relation til overvågning af medarbejdere, brug og opbevaring af personlige informationer, til en vurdering af, hvordan virksomhedens produkter og services kan krænke eller bidrage til at krænke rettigheden er nødvendig.

Først når virksomhederne har fuldt overblik over påvirkningen og opfyldelsen og menneskerettighederne kan de kalde sig samfundsansvarlige. De internationale menneskerettigheder er den nødvendige forudsætning for social bæredygtighed. Alle virksomheder påvirker retten til privatlivets fred, men kun et fåtal har undersøgt om påvirkningen er krænkende, endsige taget initiativ til at reducere deres negative indflydelse og optimere deres positive.